Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-259

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2006-AVI-259
Titre	Vulnérabilité dans WebCalendar
Date de la première version	28 juin 2006
Date de la dernière version	-
Source(s)	Révision 1.539.2.60 dans le CVS de WebCalendar
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Contournement de la politique de sécurité ;
atteinte à la confidentialité des données.

2 Systèmes affectés

WebCalendar versions 1.0.3 et antérieures.

3 Description

Une vulnérabilité dans le traitement du paramètre includedir permet d'importer sur le serveur un fichier de configuration depuis un site externe. L'exploitation de cette vulnérabilité nécessite le positionnement de la variable register_globals à On dans le fichier php.ini.

4 Contournement provisoire

Positionner la variable register_globals à Off dans le fichier php.ini.

5 Solution

Installer la version 1.0.4.

6 Documentation

Version 1.0.4 de WebCalendar :

http://www.k5n.us/webcalendar.php?topic=Download

Révision 1.539.2.60 de WebCalendar :

http://webcalendar.cvs.sourceforge.net/webcalendar/webcalendar/ChangeLog?revision=1.539.2.60&view=markup

Bulletin de sécurité Debian DSA 1096 du 13 juin 2006 :
```
http://www.debian.org/security/2006/dsa-1096
```

Référence CVE CVE-2006-2762 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2762

Gestion détaillée du document

28 juin 2006: version initiale.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 25/05/2012

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques